1 (5) BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER 1 Inledning 2 Personuppgifter som behandlas Den här bilagan om behandlingen av personuppgifter ( Bilaga ) är en icke avskiljbar del av användningsvillkoren ( Avtal ) för :s avtalskunders ( Kund) elektroniska kanaler som Postis avtalskund som använder beställningskanalen SmartShip har godkänt. Den här Bilagan gäller behandlingen av personuppgifter i samband med användningen ( Tjänst ) av Postis beställningskanal SmartShip. Syftet med den här Bilagan är att säkerställa en tillräcklig nivå av dataskyddet och datasäkerheten i anslutning till Kundens personuppgifter som Leverantören behandlar. Den här Bilagan fastställer principerna och villkoren för dataskyddet och datasäkerheten gällande personuppgifter som Leverantören förbinder sig att iaktta i produktionen av tjänster för Kunden. Enligt den här bilagan eller Avtalet överlåts inte personuppgifter mellan parterna. Med den här bilagan avtalas om behandlingen av Kundens personuppgifter på Kundens vägnar och på Kundens räkning. I produktionen av avtalsenliga tjänster behandlar Leverantören följande personuppgifter för Kundens räkning: Grupper av registrerade: Personuppgifterna för Kundens arbetstagare/personal och personuppgifter för Kundens kunder när en person skickar eller tar emot försändelser med hjälp av Tjänsten. Arter av personuppgifter: personens namn, personens adress, personens e-postadress, personens telefax- och telefonnummer och personens dörrkod. 3 Leverantörens allmänna krav gällande dataskydd och datasäkerhet Leverantören ska i sin verksamhet ha dokumenterade processer och handlingsmodeller för riskhantering. Leverantören ansvarar för att dataskydds- och datasäkerhetsrisker som gäller tjänsterna fastställs och identifieras och för de åtgärder som behövs för att bekämpa och minimera det här slaget av risker. Leverantören ska ha tillräckliga resurser i fråga om sakkunskap och kvantitet för att genomföra de i den här Bilagan definierade dataskydds- och datasäkerhetsåtgärderna. Vid behov ska Leverantören Hemort: Helsinki
2 (5) 4 Dataskydd och behandling av personuppgifter samarbeta med Kundens personal som ansvarar för dataskydd- och datasäkerhet. Leverantören behandlar Kundens personuppgifter för Kundens räkning. Med personuppgifter avses information som gäller en naturlig person som identifieras eller kan identiferas (senare Registrerad ). Personuppgifter kan vara uppgifter som gäller t.ex. kunder, arbetstagare eller övriga personer. Kunden är registeransvarig för sina personuppgifter som behandlas i tjänsten och Leverantören är behandlare. Parterna förbinder sig att följa lagstiftning, förordningar och myndigheters bestämmelser och anvisningar om behandlingen av personuppgifter som gäller i Finland och Europeiska unionen vid den aktuella tidpunkten. Som registeransvarig ansvarar Kunden för att den har de rättigheter som behövs och att den har hämtat in de samtycken till behandling av personuppgifter som krävs. Kunden ansvarar för utarbetandet av en registerbeskrivning och för att den finns framlagd och för att de registrerade informeras. Leverantören har rätt att hantera Kundens personuppgifter endast i enlighet med detta Avtal, denna Bilaga och Kundens skriftliga anvisningar och endast till den del som det är nödvändigt för att producera tjänsten. I behandlingen av Kundens personuppgifter får Leverantören anlita en underleverantör som namnges i avtalet eller dess bilaga eller en annan som Leverantören meddelar Kunden på nedan beskrivna sätt i enlighet med gällande datasäkerhetslagstiftning. Leverantören ska informera Kunden om alla underleverantörer och om ändringar i fråga om underleverantörer som kan påverka behandlingen av kundens personuppgifter. Kunden kan inom trettio (30) dagar från mottagandet av meddelandet skriftligt framföra sina motiverade invändningar mot användningen av en eller flera underleverantörer som anges i meddelandet. Då kan Leverantören avisera om en prisändring som motsvarar den kostnadsförändring för hanteringen av uppgifterna som invändningarna mot användningen av underleverantören medför för Leverantören. Leverantören kan alternativt säga upp avtalet tidigast trettio (30) dagar efter avsändande av Kundens skriftliga meddelande. Om kunden inte framför invändningar mot användningen av nämnda underleverantörer enligt denna punkt, anses Kunden ha godkänt anlitandet av underleverantören.
3 (5) Leverantören förbehåller sig rätten att meddela ändringar gällande underleverantörer på sina webbsidor eller elektroniskt så att kontaktpersonen eller en annan representant för Kundens tjänst får information om detta eller har åtkomst till meddelandena. Leverantören ingår ett skriftligt avtal med sina underleverantörer och ansvarar för att de anlitade underleverantörerna följer villkoren i denna Bilaga. Leverantören är skyldig att regelbundet övervaka sina underleverantörers verksamhet liksom sin egen. Kundens personuppgifter får inte lagras, överföras, överlåtas, redigeras, användas eller annars behandlas i realtid, arkiv, säkerhetskopior eller i någon annan form i något land utanför EU eller EES utan Kundens skriftliga samtycke som getts på förhand. Leverantören ska utan ogrundat dröjsmål överföra alla meddelanden eller andra begäran av Registrerande om insyn, rättelse, avlägsnande eller förbud mot hantering till Kunden. På måttlig begäran av Kunden ska Leverantören stöda Kunden när det gäller att uppfylla de begäran som Registrerade framför. Leverantören ansvarar för att den kan uppfylla alla lagenliga begäran som Registrerade framför. Leverantören har rätt att debitera skäliga kostnader som orsakas av att Leverantören uppfyller Kundens begäran. Leverantören hänvisar alla förfrågningar av datasäkerhetsmyndigheterna direkt till Kunden och inväntar tilläggsinstruktioner av Kunden. Om inte annat har avtalats har Leverantören inte befogenheter att representera Kunden eller föra Kundens talan med myndigheter som övervakar Kunden. Leverantören är skyldig att på begäran visa att Leverantören och dess underleverantörer följer villkoren i den här Bilagan. Utgående från Kundens skriftliga anmälan 30 dagar innan kan Kunden eller en av Kunden auktoriserad inspektör (dock inte Leverantörens konkurrent) årligen kontrollera att Leverantören behandlar Kundens personuppgifter i enlighet med den här Bilagan. Avtalsparterna kommer sinsemellan överens om det närmare innehållet av insynen och hur den genomförs i praktiken före revisionen. Leverantören rättar till observerade brister och fel utan ogrundat dröjsmål. Bägge parter ansvarar för sina kostnader för insynen. Insynen får inte medföra skada för Leverantören. Om insynen visar att Leverantören väsentligt har handlat i strid med den här Bilagan ersätter Leverantören Kunden externa kostnader för insynen och kontrollen av genomförda rättelser som har genomförts utgående från insynen i enlighet med inspektören faktura.
4 (5) När avtalet upphör returnerar och/eller avlägsnar Leverantören personuppgifterna utan ogrundat dröjsmål i enlighet med Kundens skriftliga och skäliga anvisningar. Leverantören har emellertid rätt att låta bli att avlägsna personuppgifter om lagstiftningen förutsätter att personuppgifterna ska bevaras. Om Kunden inte har använt beställningskanalen SmartShip under de senaste 13 månaderna skickas ett meddelande till Kunden om avlägsnande av uppgifter i anslutning till kundrelationen inom två (2) månader. Ifall Kunden inte inom två (2) månader efter att ha fått meddelandet gett Leverantören anvisningar om behandlingen av person- och andra uppgifter i anslutning till kundrelationen förbehåller sig Leverantören att avlägsna Kundens person- och andra uppgifter. Leverantören stöder Kunden i överföringen av Kundens personuppgifter. Leverantören har rätt att debitera Kunden skäliga kostnader som orsakas av överföringen av Kundens uppgifter. Efter att Kundens personuppgifter överförts ser Leverantören till att kopior av Kundens personuppgifter som Leverantören eller dess underleverantörer har förstörs och bekräftar förstörelsen skriftligen till Kunden på Kundens begäran. 5 Dataskydd Leverantören är skyldig att genomföra de i dataskyddslagstiftningen föreskrivna ändamålsenliga tekniska och organisatoriska skyddsåtgärder för att skydda de personuppgifter som Leverantören behandlar. I ordnandet av skyddsåtgärderna beaktas de tillgängliga tekniska alternativen, överhängande särskilda risker i anslutning till databehandlingen och känsligheten hos de personuppgifter som behandlas. I behandlingen ska t.ex. följande regler beaktas: 1) Leverantören eller personalen hos den underleverantör som Leverantören anlitar och som deltar i behandlingen av personuppgifter ska förbinda sig att följa sekretesskyldigheten i anknytning till personuppgifter. 2) System och datatrafik som används i behandlingen av Kundens personuppgifter skyddas med hjälp av ändamålsenliga och aktuella dataskyddslösningar. 3) Personuppgifter används inte i Leverantörens egna användningssyften. Leverantören ansvarar för säkerhetskopieringen av Kundens personuppgifter om inte annat har överenskommits
5 (5) 6 Behandling av datasäkerhetskränkning 7 Uppdateringar av denna Bilaga Leverantören meddelar Kunden utan ogrundat dröjsmål om kränkningar av datasäkerheten, t.ex. dataintrång och om data av misstag eller i strid med lagen har förstörts, gått förlorad, ändrats eller överlåtits utan lov samt om åtkomst tillpersonuppgifterna. I anmälan ska så noggrant som möjligt uppges vad som har skett, vems personuppgifter och vilka personuppgifter kränkningen gäller samt den uppskattade omfattningen. Leverantören utreder utan ogrundat dröjsmål orsakerna till kränkningen, konsekvenserna och vidtar åtgärder för att avsluta kränkningarna, lindra de skadliga effekterna och för att förebygga motsvarande kränkningar. Leverantören ska utan ogrundat dröjsmål dokumentera resultaten av utredningen och de vidtagna åtgärderna för Kunden. Leverantören ska samarbeta med Kunden och lämna dokumentationen gällande datasäkerhetskränkningarna som lagen och datasäkerhetsmyndigheterna förutsätter till Kunden. Leverantören är skyldig att skriftligen informera Kunden om alla ändringar som kan påverka Leverantörens förmåga eller möjligheter att följa denna Bilaga och Kundens skriftliga anvisningar i enlighet med villkoren i den här Bilagan. Partena avtalar skriftligen om alla tillägg och ändringar i den här Bilagan.